Illustrasjonsfoto: NTB scanpix Foto: Lise Åserud / NTB scanpix
Stemmer:Ett år igjen til et nytt personvernregime
25. mai 2018, datoen når EUs nye personvernforordning trer i kraft, markerer et skifte for personvernet i en tid når mange mener vernet er blitt for sterkt, skriver Rune Opdahl og Henrik Aakrann i Wiersholm.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Delta i debatten
Send oss gjerne forslag til kronikker vi kan publisere.
Formen bør være kronikk/kommentar/blogginnlegg med maks 1000 ord.
E-post: stemmer@abcnyheter.no
Artikkelen fortsetter under annonsen
Skrevet av: Rune Opdahl, advokat og Henrik Aakrann, advokatfullmektig i Wiersholm.
Om ett år trer EUs nye personvernforordning (General Data Protection Regulation, GDPR) i kraft.
Den avløser et regelverk som stammer fra en tid hvor ikke engang AltaVista var
Rune Opdahl er advokat i Wiersholm.
lansert og hvor sosiale medier og tingenes internett var science fiction. GDPR vil etablere ett felles personvernregelverk i EØS, og har som formål å bidra til en grenseløs digital økonomi i Europa.
Selv om det ennå er ett år igjen til forordningen blir virksom, har den allerede satt personvern på dagsordenen, og på sett og vis allerede hatt effekt.
Med et bøtenivå på opptil 4 prosent av årlig global omsetning eller 20 millioner euro, er personvern satt på agendaen i ledermøter og i styrerom. Det har blitt trendy å yte tjenester som ivaretar personvernet og som gir brukerne kontroll over egne data. Personvernvennlighet brukes som
Henrik Aakrann er advokatfullmektig i Wiersholm.
konkurransefortrinn.
GDPR er ledd i en rettspolitisk strømning i retning av et sterkere personvern. Gjennom 2014 innførte EU-domstolen i Google-dommen en «rett til å bli glemt». I 2015 ble Safe Harbor-samarbeidet mellom EU og USA om dataoverføring opphevet. I 2016 ble masselagring av data kjent ulovlig. I januar i år foreslo EU-kommisjonen en ePrivacy-forordning som vil stramme inn på bruken av cookies.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenI Norge ser vi samme tendens. I april i år avsa Høyesterett kjennelse i en fildelingssak hvor personvernet trumfet opphavsretten.
GDPR vil gjelde så å si alle offentlige og private virksomheter. Alle som har personkunder, ansatte eller andre personopplysninger, må frem til 25. mai 2018 forberede seg på blant annet disse nye reglene:
Dataportabilitet: Personer gis rett til å kreve sine opplysninger overført fra en tjenesteleverandør til en annen, for eksempel ved bytte av bank eller treningsapp. De færreste virksomheter har i dag systemer for dataportabilitet. Regelen har potensial for å endre konkurransesituasjonen i flere bransjer.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenInnebygd personvern: Det innføres krav til «privacy by design», det vil si at personvern innarbeides i teknologi, og «privacy by default», det vil si at standardinnstillingene skal være personvernvennlige. Dette vil stille store krav til både de som utvikler og anskaffer systemer.
Nye samtykkekrav: Det stilles strengere krav til samtykke. Dagens praksis med «all-or-nothing»-samtykker blir forbudt. Brukerne skal kunne si ja til noe og nei til noe og på den måten kunne ta kontroll over hvordan virksomheter bruker deres data. Personverninformasjon må utformes i et språk som er forståelig. De fleste virksomheter må derfor oppdatere sine samtykketekster og personvernerklæringer.
Artikkelen fortsetter under annonsenPersonvernombud: Mange offentlige og private virksomheter vil bli pålagt å ha personvernombud. I dag er dette en frivillig og nokså lite utbredt ordning.
Det har vært en tendens til å overdramatisere forordningen vi har i vente. Som for Y2K ved millenniumskiftet, vil vi nok erfare at det meste er uforandret når vi våkner opp 25. mai 2018. Selv om GDPR innebærer viktige endringer, videreføres langt på vei hovedlinjene i dagens regelverk. Endringene kan likevel ikke ignoreres. Det er urovekkende når undersøkelser Atea nylig gjennomførte viser at én av tre norske bedriftsledere ikke kjenner til GDPR, og at kun én av ti norske virksomheter har startet arbeidet med å tilpasse seg forordningen. Det vil være uheldig om norske virksomheter blir de første som rammes av det nye bøteregimet.
Artikkelen fortsetter under annonsenSamtidig som GDPR er på vei, ser vi allerede tegn til en motstrømning, hvor flere tar til orde for at personvernet er blitt for sterkt. Fremskrittspartiet går inn for utvidet lagring av IP-adresser, noe som har likhetstrekk med datalagringsdirektivet som EU-domstolen har underkjent. Et digitalt grenseforsvar for Norge er nylig foreslått. Og antaGelig vil økt nettkriminalitet og stadige terrortrusler føre til krav om tiltak som vil gå på bekostning av personvernet.
Artikkelen fortsetter under annonsen25. mai 2018 markerer et skifte for personvernet. Den etterfølgende praktiseringen av GDPR, i samspill mellom næringsliv, stat og individ, vil avgjøre hvordan personvernet blir. Vi tror den viktigste driveren for personvernet blir de kravene som næringslivsaktører vil sette til hverandre – gjennom kontrakter og på annen måte – for å redusere sin risiko for økonomisk ansvar og omdømmetap.
Ironisk nok vil det altså være de aktørene som GDPR er ment å begrense som blir de mest effektive pådriverne for at regelverket etterleves.
Kommentaren var først publisert i Finansavisen.
